網(wǎng)管員如何通過(guò)Trace命令來(lái)進(jìn)行網(wǎng)絡(luò)故障排查

希望這篇文章能夠給網(wǎng)絡(luò)管理員提供一個(gè)解決問(wèn)題的思路。Trace命令主要用來(lái)跟蹤數(shù)據(jù)包的傳輸過(guò)程，可以向網(wǎng)絡(luò)管理員提供路由器到目的地地址的每一跳信息。主要是通過(guò)控制IP報(bào)文的生存期字段來(lái)實(shí)現(xiàn)這個(gè)目的。

　　一、Trace命令的原理

　　Trace命令提供路由器到目的地址的每一跳的信息。他通過(guò)控制IP報(bào)文的生存期(英文簡(jiǎn)稱(chēng)為T(mén)TL)字段來(lái)實(shí)現(xiàn)。為了獲得往返延遲的時(shí)間信息，Trace命令會(huì)發(fā)送三個(gè)報(bào)文顯示平均延遲時(shí)間。然后命令會(huì)將報(bào)文的TTL字段加1并在此發(fā)送這三個(gè)報(bào)文。這些報(bào)文將達(dá)到路徑的第二個(gè)路由器上，并返回超時(shí)錯(cuò)誤或者端口不可達(dá)的信息。反復(fù)使用這個(gè)方法，不斷增加報(bào)文的TTL字段的值，直到接收到目的地址的響應(yīng)消息。

　　上面這么說(shuō)可能有點(diǎn)繞口令。筆者這里舉一個(gè)簡(jiǎn)單的例子來(lái)說(shuō)明。如果現(xiàn)在有用戶反映他們不能夠訪問(wèn)公司的網(wǎng)站，但是可以訪問(wèn)其他網(wǎng)頁(yè)。此時(shí)網(wǎng)絡(luò)管理員該如何處理呢?網(wǎng)絡(luò)管理員懷疑是連接那個(gè)網(wǎng)站的路由器出現(xiàn)了問(wèn)題。此時(shí)就可以利用 Trace + 被懷疑有故障的路由器IP地址的方式，來(lái)跟蹤數(shù)據(jù)包到這個(gè)路由器的整個(gè)過(guò)程。這個(gè)Trace命令會(huì)列舉出從管理員路由器到那個(gè)被懷疑出現(xiàn)故障路由器之間所有的路由器連接信息。如此的話，網(wǎng)絡(luò)管理員就可以發(fā)現(xiàn)是中間那個(gè)路由器出現(xiàn)了問(wèn)題。這將幫助管理員迅速定位出問(wèn)題的路由器。如果最后網(wǎng)絡(luò)管理員受到了來(lái)自那個(gè)被懷疑路由器的反應(yīng)信息，則表明跟那個(gè)路由器之間的連接時(shí)沒(méi)有問(wèn)題的。這就表明問(wèn)題可能不出在路由器身上，而有可能是那個(gè)WEB服務(wù)器在搞怪。

　　二、如何讀懂Trace命令返回的消息

　　要利用Trace命令來(lái)排查網(wǎng)絡(luò)故障，則讀懂Trace返回報(bào)文的含義這是最基礎(chǔ)的。還好Trace命令返回的報(bào)文并不復(fù)雜，比較容易看懂。

　　MSEC表示路由器在接收到響應(yīng)消息之前的往返網(wǎng)絡(luò)延遲，這是以毫秒為單位。在網(wǎng)絡(luò)中從發(fā)送方和接受方之間交換數(shù)據(jù)，接受方收到數(shù)據(jù)和發(fā)送方發(fā)送數(shù)據(jù)之間的時(shí)間差就是網(wǎng)絡(luò)延遲。也就是說(shuō)，從路由器發(fā)送消息到下一個(gè)路由器接收到消息并做出響應(yīng)中間會(huì)有一個(gè)時(shí)間的間隔。這個(gè)間隔就是網(wǎng)絡(luò)延遲。造成網(wǎng)絡(luò)延遲的原因有很多,比如在物理線路上電磁波傳播要時(shí)間,在網(wǎng)絡(luò)中間設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)包也要時(shí)間,受網(wǎng)絡(luò)帶寬限制,發(fā)送數(shù)據(jù)也要時(shí)間,還有其他的排隊(duì)時(shí)延等。從理論上來(lái)說(shuō)，這個(gè)時(shí)間間隔為零為好，但是實(shí)際上做不到。在采用Trace命令時(shí)，只有第一跳的MSEC時(shí)間可能為0，達(dá)到自己路由器接口的時(shí)間。為此在網(wǎng)絡(luò)性能優(yōu)化時(shí)，不能夠消除這個(gè)網(wǎng)絡(luò)延遲，而只能夠把這個(gè)延遲盡量的縮短。若最終能夠出現(xiàn)這個(gè)信息，至少說(shuō)明跟對(duì)方的連接是通的。此時(shí)網(wǎng)絡(luò)管理員要考慮的是，這個(gè)延遲的時(shí)間是否在可以容忍的范圍之內(nèi)。如果網(wǎng)絡(luò)雖然通了，但是延遲時(shí)間比較長(zhǎng)則管理員仍然需要進(jìn)行網(wǎng)絡(luò)調(diào)整。要把這個(gè)網(wǎng)絡(luò)延遲的時(shí)間控制在可以忍受的范圍之內(nèi)。

　　如果執(zhí)行了這個(gè)命令之后，路由器最后沒(méi)有返回MSEC信息，而是顯示了其他的內(nèi)容，則表示這個(gè)連路不通，可能存在網(wǎng)絡(luò)故障。此時(shí)，網(wǎng)絡(luò)管理員就需要根據(jù)其返回的錯(cuò)誤信息來(lái)排查網(wǎng)絡(luò)故障。通常情況下，其可能會(huì)返回這些錯(cuò)誤信息。一是*號(hào)，它表示報(bào)文超時(shí)。二是?號(hào)，表示報(bào)文類(lèi)型不能識(shí)別。三是U符號(hào)，表示端口不可達(dá)。四是P字母，表示謝意不可達(dá)。五是N字母，表示網(wǎng)絡(luò)不可達(dá)。六是H字母，表示主機(jī)不可達(dá)。七是Q字母，表示ICMP源抑制。這里筆者要特別強(qiáng)調(diào)一下ICMP源抑制的作用。由于TCP是可靠的面向連接的協(xié)議，在建立連接的時(shí)候會(huì)協(xié)商窗口大小，當(dāng)網(wǎng)絡(luò)擁塞或主機(jī)資源缺乏的時(shí)候，則會(huì)相互通知以減慢數(shù)據(jù)發(fā)送速度;而UDP協(xié)議則沒(méi)有這樣的傳輸機(jī)制，當(dāng)網(wǎng)絡(luò)擁塞或資源不足的時(shí)候，無(wú)法通知對(duì)方，所以，這時(shí)，則會(huì)發(fā)送ICMP源抑制的報(bào)文給發(fā)送端，以減慢發(fā)送速度。如有時(shí)候再網(wǎng)絡(luò)維護(hù)時(shí)管理員會(huì)發(fā)現(xiàn)千兆網(wǎng)的數(shù)據(jù)傳輸速度反而比百兆網(wǎng)的速度的慢好幾倍。則很有可能使某個(gè)關(guān)鍵路由器處理不過(guò)來(lái)。此時(shí)網(wǎng)絡(luò)管理員就需要利用一定的工具查看網(wǎng)絡(luò)中是否存在ICMP源抑制信息。如果存在的話，則這個(gè)千兆網(wǎng)速度沒(méi)有百兆網(wǎng)快很可能是因?yàn)槟硞€(gè)路由器成為了網(wǎng)絡(luò)中的瓶頸資源。管理員需要升級(jí)這個(gè)路由器，以改善其處理性能。

　　另外，如果在思科路由器的特權(quán)模式下，還可以對(duì)這個(gè)命令進(jìn)行擴(kuò)展，以實(shí)現(xiàn)更多的功能。如在特權(quán)模式下，Port number是一個(gè)很有用的擴(kuò)展屬性。網(wǎng)絡(luò)管理員通過(guò)這個(gè)命令可以使工程技術(shù)人員跟蹤特定的傳輸層端口。因此通過(guò)這個(gè)命令網(wǎng)絡(luò)管理員不但可以確認(rèn)源端與目的地址之間的IP連通性;而且還可以確認(rèn)高層服務(wù)的連通性問(wèn)題(即可以通過(guò)此來(lái)判斷目的設(shè)備是否開(kāi)啟了相關(guān)的高層服務(wù))。

　　三、Tracle實(shí)例解析

　　1. 利用Trace命令判斷路由器是否存在訪問(wèn)控制列表。

　　如現(xiàn)在網(wǎng)絡(luò)管理員發(fā)現(xiàn)可以Ping遠(yuǎn)程路由器設(shè)備，但是卻無(wú)法Telnet到遠(yuǎn)程路由器進(jìn)行遠(yuǎn)程維護(hù)。因?yàn)榫W(wǎng)絡(luò)管理員在某個(gè)設(shè)備中可以通過(guò)Telnet連接到這個(gè)遠(yuǎn)程路由器。現(xiàn)在更換了一個(gè)設(shè)備卻不行了，那么網(wǎng)絡(luò)管理員就懷疑是路由器設(shè)置了擴(kuò)展訪問(wèn)控制列表的原因。網(wǎng)絡(luò)管理員該如何驗(yàn)證自己的判斷呢?

　　其實(shí)很簡(jiǎn)單哪。網(wǎng)絡(luò)管理員可以利用Trace命令在源地址上檢查目的設(shè)備主機(jī)上的Telnet端口是否可以訪問(wèn)(采用思科路由器特權(quán)模式下的Port number屬性)。如果只有管理員以前使用的設(shè)備可以Telnet端口，而其他地址都被拒絕訪問(wèn)的話，就就可以百分之百的證明這臺(tái)路由器設(shè)備存在擴(kuò)展訪問(wèn)控制列表。此時(shí)網(wǎng)絡(luò)管理員若有遠(yuǎn)程路由器管理權(quán)限的話，就需要先用自己的設(shè)備修改擴(kuò)展訪問(wèn)控制列表中的限制。把其他涉別的MAC地址或者IP地址加入進(jìn)去，允許其進(jìn)行Telnet訪問(wèn)。然后再通過(guò)其他設(shè)備進(jìn)行Telnet訪問(wèn)。

　　2. *號(hào)并不一定表示網(wǎng)絡(luò)不通。

　　當(dāng)網(wǎng)絡(luò)管理員利用Trace測(cè)試路由器的連通性時(shí)，如果路由器返回*符號(hào)，并不一定代表網(wǎng)絡(luò)不通。因?yàn)門(mén)race命令是采用網(wǎng)間控制信息協(xié)議(簡(jiǎn)稱(chēng)ICMP)協(xié)議的。網(wǎng)間控制ICMP是用于路由器之間傳遞控制信息和報(bào)錯(cuò)的協(xié)議。ICMP使用IP數(shù)據(jù)包，但是這些數(shù)據(jù)是由IP軟件處理，而不會(huì)直接傳送給用戶。在網(wǎng)絡(luò)體系結(jié)構(gòu)的各層次中，都需要控制，而不同的層次有不同的分工和控制內(nèi)容，IP層的控制功能是最復(fù)雜的，主要負(fù)責(zé)差錯(cuò)控制、擁塞控制等，任何控制都是建立在信息的基礎(chǔ)之上的，在基于IP數(shù)據(jù)報(bào)的網(wǎng)絡(luò)體系中，網(wǎng)關(guān)必須自己處理數(shù)據(jù)報(bào)的傳輸工作，而IP協(xié)議自身沒(méi)有內(nèi)在機(jī)制來(lái)獲取差錯(cuò)信息并處理。為了處理這些錯(cuò)誤，TCP/IP設(shè)計(jì)了ICMP協(xié)議，當(dāng)某個(gè)網(wǎng)關(guān)發(fā)現(xiàn)傳輸錯(cuò)誤時(shí)，立即向信源主機(jī)發(fā)送ICMP報(bào)文，報(bào)告出錯(cuò)信息，讓信源主機(jī)采取相應(yīng)處理措施，它是一種差錯(cuò)和控制報(bào)文協(xié)議，不僅用于傳輸差錯(cuò)報(bào)文，還傳輸控制報(bào)文。

　　但是ICMP協(xié)議有著先天行的缺陷，如很容易遭受對(duì)方的洪水攻擊。洪水攻擊簡(jiǎn)單的說(shuō)就是攻擊者通過(guò)某種手段同時(shí)讓多臺(tái)網(wǎng)絡(luò)設(shè)備向目標(biāo)設(shè)備發(fā)送ICMP包從而讓目的設(shè)備忙不過(guò)來(lái)而拒絕接受新的數(shù)據(jù)包。為此為了提高網(wǎng)絡(luò)設(shè)備的安全性，不少網(wǎng)絡(luò)管理員會(huì)關(guān)閉掉ICMP響應(yīng)。此時(shí)，當(dāng)網(wǎng)絡(luò)管理員Trace遠(yuǎn)程網(wǎng)絡(luò)設(shè)備時(shí)就會(huì)出現(xiàn)*符號(hào)，表示報(bào)文超時(shí)。

　　另外網(wǎng)絡(luò)管理員在使用這個(gè)Trace命令時(shí)需要注意一個(gè)問(wèn)題。如果源地址到目的地址之間存在多條路徑，則這個(gè)命令返回報(bào)文的源地址可能不大相同。如果遇到這種情況，則網(wǎng)絡(luò)管理員就需要仔細(xì)比較不同返回報(bào)文顯示的延遲時(shí)間。通常情況下延遲時(shí)間比較少的會(huì)優(yōu)先路徑。管理員主要考察延遲時(shí)間短的幾個(gè)路徑即可。除非管理員需要考察特殊路徑，那么最好能夠知道特定路由器的IP地址。

【推薦閱讀】

◆網(wǎng)管軟件專(zhuān)區(qū) 

◆網(wǎng)管員需要注意一些網(wǎng)絡(luò)安全管理策略

◆網(wǎng)管員基礎(chǔ)知識(shí)：如何設(shè)置員工上網(wǎng)權(quán)限

◆網(wǎng)管員經(jīng)驗(yàn) AOFAX傳真服務(wù)器的初始安裝技巧

◆IT運(yùn)維管理專(zhuān)區(qū)